Deutscher Bundestag 

17. Wahlperiode 


Drucksache 1 7/5407 


05 . 04 . 2011 


Kleine Anfrage 

der Abgeordneten Jan Körte, Karin Binder, Garen Lay, Petra Pau, Jens Petermann, 
Raju Sharma, Frank Tempel, Halina Wawzyniak und der Fraktion DIE LINKE. 


Schutz vor PIN-Skimming 


Am 2. Januar 2011 berichtete die „Frankfurter Allgemeine Sonntagszeitung“ 
(FAS), dass das Bundeskriminalamt (BKA), als Maßnahme gegen das 2010 
stark angestiegene Ausspähen der Daten von EC- und Kreditkarten an Geld- 
automaten (Skimming), eine flächendeckende Einführung magnetstreifenloser 
Debitkarten fordert. 

Seit dem 1. Januar 2011 werden die Transaktionen zwischen Karte und Geld- 
automat im Euro-Raum von einem EMV-Chip abgewickelt, der die im Magnet- 
streifen enthaltenen Daten verschlüsselt speichert und das Fälschen von Karten 
unmöglich machen soll. Trotzdem haben die meisten EC- und Kreditkarten auch 
weiterhin zusätzlich einen Magnetstreifen, damit die Geldkarten auch außerhalb 
des einheitlichen Euro-Zahlungsraumes eingesetzt werden können. 

ln ihrer am 9. März 201 1 vorgestellten Präsentation „Credit Card skimming and 
PIN harvesting in an EMV world“ (http://dev.inversepath.com/download/emv/ 
emv_2011.pdf) beschreiben vier Forscher, wie sich die Kommunikation zwi- 
schen Terminal und Chip durch eine flache Platine im Kartenschlitz belauschen 
und manipulieren lässt, um an eine PIN zu gelangen. 

Dabei sei es laut einem Bericht bei „heise online“ vom 16. März 2011 „unerheb- 
lich, ob die Karte einen billigen Chip ohne eigene Kryptografiefunktion (SDA) 
oder einen teuren, bislang als sicher geltenden Chip mit Dynamic Data Authen- 
tication (DDA) enthält“. Der Bericht zitiert Daniele Bianco, einen der vier For- 
scher, mit folgender Aussage: „Das eigentliche Problem bei EMV ist, dass durch 
die scheinbare Sicherheit des Verfahrens die Beweislast auf den Kunden abge- 
wälzt wird. Es wird ihm unterstellt, dass er fahrlässig mit seiner PIN umgegan- 
gen ist.“ Betroffen seien nach Daniele Biancos Ansicht alle EMV-Installationen, 
demnach auch die in der Bundesrepublik Deutschland. 

Von diesen grundsätzlichen Sicherheitsproblemen wissen Flersteller und Banken 
jedoch offenbar schon seit über fünf Jahren. Am 8. März 2006 berichtete das 
ARD-Femsehmagazin „Plusminus“ bereits über Schwachstellen von Kreditkar- 
ten, die mit der neuen Chiptechnologie ausgestattet sind. Damals demonstrierten 
Wissenschaftler der Universität Cambridge bereits in einem Skimming-Angriff 
auf SDA-Karten unter Laborbedingungen, wie sich die Kommunikation der 
Karte mit einem präparierten Chipkartenterminal abhören lässt. Vor rund einem 
Jahr zeigten dieselben britischen Forscher zudem einen Weg auf, mit dem sich 
das EMV- Verfahren bei EC- und Kreditkarten so aushebeln lässt, dass Karten 
scheinbar beliebige PIN akzeptieren. Diese Manipulation ließ sich allerdings im 
Nachhinein aufdecken, so dass, anders als bei den neuesten Skimming -Attacken, 
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die Kunden nicht automatisch in Haftung wären (vgl. hierzu auch heise online 
vom 8. März 2011). 

Laut FAS schlägt das BKA im Kampf gegen Skimming den Banken vor, stan- 
dardmäßig EC- und Kreditkarten ohne Magnetstreifen auszugeben. Lediglich an 
Kunden, die ihre Karten auch im außereuropäischen Ausland einsetzen wollen, 
soll auf Antrag eine zweite Karte mit Magnetstreifen ausgehändigt werden, was 
jedoch nur 5 Prozent der Bankkunden betreffe (FAS vom 2. Januar 2011). 

Schon im Juli 2010 hatte das BKA davor gewarnt, dass bei Skimming-Angriffen 
ein neuer Höchststand bevorstünde. Nach Angaben des BKA wurden bereits im 
ersten Halbjahr 2010 so viele Skimming -Fälle registriert wie im gesamten Vor- 
jahr und dieser Trend hätte sich auch im zweiten Halbjahr fortgesetzt (vgl. FAS 
vom 2. Januar 2011). 

Wir fragen die Bundesregierung: 

1 . Wie viele Debitkarten sind derzeit bei den in der Bundesrepublik Deutsch- 
land lebenden Bürgeriimen und Bürger im Umlauf (bitte nach Kartenart und 
Ausstattungsmerkmalen aufschlüsseln)? 

2. Wie bewertet die Bundesregierang das derzeitige Risiko von PIN-Skim- 
ming in der Bundesrepublik Deutschland, vor dem Hintergrund der aktuell 
aufgedeckten Sicherheitsprobleme bei der bislang als sicher geltenden 
DDA-Chipklasse? 

3. Wie viele der sogenaimten Skimming-Angrifife, von denen in der Bundes- 
republik Deutschland lebende Bürgerinnen und Bürger betroffen waren, 
wurden seit 2005 vom BKA im ln- und Ausland registriert (bitte nach Halb- 
jahr/Jahr, Land, Bundesland und Angriffsart aufschlüsseln)? 

4. Wie hoch beläuft sich der durch die sogenannten Skimming-Angriffe ent- 
standene Schaden seit 2005 (bitte nach Halbjahr/ Jahr, Land und Bundesland 
aufschlüsseln)? 

5. Wie viele Fälle konnten vom BKA und anderen mit dem Problem befassten 
Polizeistellen seit 2005 aufgedeckt und aufgeklärt werden (bitte nach Jahr 
und Bundesland aufschlüsseln)? 

6. Wer kommt bei Skimming-Attacken aufgrund welcher Rechtslage für den 
entstandenen Schaden auf? 

ln wie vielen Fällen mussten die betroffenen Kunden den Schaden selbst 
tragen, in wie vielen Fällen gelang es eine Manipulation nachzuweisen, und 
in wie vielen Fällen wurde der Schaden von den Banken übernommen? 

7. Wie bewertet die Bundesregierung, vor dem Hintergrund der aktuell aufge- 
deckten Sicherheitsprobleme bei den bislang als sicher geltenden DDA- 
Chips, die Forderungen des BKA an die Banken, standardmäßig nur noch 
EC- und Kreditkarten ohne Magnetstreifen auszugeben? 

8. Wie war nach Kenntnis der Bundesregierung die Resonanz bei den Banken 
auf die Forderungen des BKA, und was hat sich an der Kartenausgabepraxis 
seitdem geändert? 

9. Erwägt die Bundesregierung gesetzgeberische Initiativen zur Verbesserung 
der Sicherheit von EC- und Kreditkarten? 

10. Wie beurteilt die Bundesregierung das geschilderte Beweislastproblem bei 
EMV, und hat sie bereits Maßnahmen erwogen oder unternommen, um hier 
die Kunden zu schützen und gegenzusteuern? 

Wenn ja, welche waren/sind dies? 

Wenn nein, warum nicht? 
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11. Wurden und werden Mittel aus dem Bundeshaushalt (z. B. im Bereich der 
Sicherheitsforschung) zur Entwicklung sicherer Bankautomatentransaktio- 
nen verwendet, und wenn ja, in welcher Höhe? 

12. Wie erklärt sich die Bundesregierung die ausbleibende Reaktion auf die 
2006 bekannt gewordenen Sicherheitsprobleme, und hat die Bundesregie- 
rung in dieser Sache irgendetwas unternommen? 

Wenn ja, was? 

13. ln welchen Ländern des einheitlichen Euro-Zahlungsraumes, und in wel- 
chen anderen Ländern sind derzeit Karten ohne Magnetstreifen überhaupt, 
und in welchem Ausmaß einsetzbar? 

14. Erforschen BKA und das Bundesamt für Sicherheit in der Informations- 
technik die Sicherheitsprobleme mit Bankkarten, und wenn ja, in welcher 
Form, seit warm, in welchem Umfang, und mit welchem Aufwand? 


Berlin, den 5. April 2011 

Dr. Gregor Gysi und Fraktion 
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